网络安全标准实践指南—移动互联网应用程序(-fun88|官网首页 

设为首页   |   联系我们


当前位置:fun88主页 > 移动互联 >

快速导航

新闻中心

网络安全标准实践指南—移动互联网应用程序(

更新时间:2020-05-15 16:12点击次数:字号:T|T

  原标题:网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)

  为落实相关要求,围绕中央网信办、工信部、、市场监管总局联合制定的,并基于专项治理工作组发布的《违法违规收集使用自评估指南》,秘书处组织编制了《标准实践指南—移动应用程序()收集使用自评估指南(征求意见稿)》。

  根据《全国信息安全标准化技术委员会标准实践指南管理办法(暂行)》要求,秘书处现组织对《标准实践指南—移动应用程序收集使用自评估指南(征求意见稿)》面向社会公开征求意见。如有意见或,请于2020年4月2日前反馈至秘书处。

  2016年 《网络安全法》 颁布,明确我国 网络安全 的基本要求和制度,并将 个人信息 问题作为 网络信息安全 的重要内容予以。 App 运营者作为典型的网络运营者,在其收集、使用 个人信息 时,应当遵守 《网络安全法》 等法律法规有关 个人信息 的要求。2019年1月,中央网信办、工业和信息化部、、市场监管总局发布《关于开展 App 违法违规收集使用 个人信息 专项治理的公告》,公告中指出,由全国信息安全标准化技术委员会、中国消费者协会、中国 互联网 协会、中国网络空间安全协会,依据法律法规和国家相关标准,编制大众化应用基本业务功能及必要信息规范、 App 违法违规收集使用 个人信息 治理评估要点,组织相关专业机构,对用户数量大、与生活密切相关的 App政策和个人 信息收集 使用情况进行评估。2019年3月1日, App 专项治理工作组结合2017年和2018年“ 隐私 条款专项评审”等工作经验,对外发布第一版《App违法违规收集使用个人信息自评估指南》技术文件,提出评估点,以便于指导App运营者自查自纠。2019年12月30日,中央网信办、工信部、、市场监管总局联合制定的《 App 违法违规收集使用 个人信息 行为认定方法》正式发布,认定方法的内容结合了一年来关于 App 违法违规收集使用 个人信息 检测评估工作的经验和规律,为监督管理部门认定 App 违法违规收集使用 个人信息 行为提供参考,为 App 运营者自查自纠和网民社会监督提供。

  本实践指南在 2019 年 3 月 1 日版《违法违规收集使用自评估指南》的基础上,依据等法律法规要求,参照《违法违规收集使用行为认定方法》和相关国家标准,结合检测评估工作经验,归纳总结出收集使用评估点,供运营者自评估参考,帮助其持续提升水平。

  《消费者权益保》第 29 条,经营者收集、使用消费者 个人信息 ,“应当公开其收集、使用规则”。

  a)在界面中能够找到政策,包括通过弹窗、文本链接、附件、常见问题(FAQs)等形式,且政策可正常显示。

  c) 隐私 政策的内容需符合通用的语言习惯,使用标准化的数字、图示,避免出现错别字或有歧义的语句。

  a)政策应对运营者基本情况进行描述,至少包括组织或公司名称、注册地址或常用办公地址、工作机构或相关负责人联系方式。

  b) 隐私 政策应对个人信息存放地域(境内、境外哪个国家或地区)、存储期限(法律范围内最短期限或明确的期限)、超期处理方式进行明确说明。

  d)如果存在出境情形,政策中应将出境类型逐项列出并显著标识(如字体加粗、标星号、下划线、斜体、不同颜色等);如果不存在出境情形,则明确说明。

  e)政策中应对运营者在方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、、防范、安全审计等。

  f)如果存在对外共享、转让、公开披露等情况,政策中应明确以下内容:①对外共享、转让、公开披露的目的;②涉及的类型;③接收方类型或身份。

  g)政策中应对以下用户和相关操作方法进行明确说明:①查询;②更正;③删除;④用户账户注销;⑤撤回已同意的授权。

  《消费者权益保》第 29 条,经营者收集、使用消费者 个人信息 ,“应当公开其收集、使用规则”。

  2.1 是否逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等

  a)完整、清晰、区分说明各业务功能所收集的。政策中所述内容应与实际业务相符,并逐项说明各业务功能收集的目的、类型、方式,不应使用“等、例如”等方式不完整列举。

  注:业务功能是指 App 面向个人用户所提供的一类完整的服务,如地图、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、房屋租售、求职招聘、二手车交易、金融借贷等。

  b)如使用Cookie等同类技术(包括脚本、Clickstream、Web信标、Flash Cookie、内嵌 链接等)收集,应向用户说明使用该类技术收集的目的、类型、方式。

  c)如嵌入了第三方、插件(如SDK)收集,应说明第三方类型,及收集的目的、类型、方式,说明方式包括政策、弹窗提示、文字备注、文本链接等。

  d)如委托的第三方或嵌入的第三方、插件直接将传输至境外的,应明确说明跨境传输的目的、类型和接收方等。

  a)收集使用的目的、方式和范围发生变化时,应以适当方式通知用户,适当方式包括更新政策并以信息、邮件、弹窗等方式提醒用户阅读发生变化的条款等。

  a)在申请打开可收集的权限时,应通过显著方式(如弹窗提示等)同步告知用户其目的,对目的的描述应明确、易懂。

  b)在要求用户提供个人信息(用户身份证号、银行账号、行踪轨迹等)时, App 应通过显著方式(如弹窗提示、文字备注、文本链接等)同步告知用户其目的,对目的的描述应明确、易懂。

  a)有关收集使用规则的内容应简练、结构清晰、重点突出,避免使用晦涩难懂的词语(如使用大量专业术语)和冗长繁琐的篇幅。

  第 41 条网络运营者收集、使用 个人信息 ,应“经被收集者同意”且“不得违反法律、行规的和双方的约定收集、使用 个人信息 ”。

  《消费者权益保》第 29 条经营者收集、使用消费者 个人信息 ,应“经消费者同意”且“不得违反法律、法规的和双方的约定收集、使用信息”,“经营者未经消费者同意或者请求,或者消费者明确表示的,不得向其发送商业性信息。”

  b)未征得用户同意时,不应收集或打开可收集个人信息权限。如首次打开时,在用户未得知收集的目的前,就开始收集。

  注:征得同意,指主体通过书面声明或主动做出肯定性动作,对其进行特定处理做出明确授权的行为。肯定性动作包括主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

  c)不应在征得用户同意前,利用Cookie等同类技术、或私自调用可收集用户的权限等方式收集。

  a)用户通过提供、不同意收集使用规则、提供或关闭权限等操作,明确收集某类后,不应以任何形式收集该类或打开可收集的权限。

  a)用户明确表示不同意收集后,不应在每次重新打开、或使用某一业务功能时,向用户频繁(如 48 小时内)询问是否同意收集。

  b)用户明确表示不同意收集后,不应在每次重新打开、或使用某一业务功能时,向用户频繁(如 48 小时内)询问是否同意打开可收集的权限。

  注:用户选择使用的某一具体功能触发征得同意的动作,不属于频繁干扰情形。如用户自行选择使用拍摄、扫码等功能,需获取“相机”权限。

  a)收集使用的过程应与其所声明的政策等收集使用规则保持一致。如实际收集的类型、申请打开的可收集使用的系统权限、调用系统权限的行为应与政策所描述内容一致,不应超出政策所述范围。

  b)注册(包括登录即代表注册)的选项与同意政策等的逻辑关系应清楚,且主动提示用户阅读以显著方式展示的政策等收集使用规则后,执行下一步注册/登录等动作。

  a)存在利用用户和定向推送信息情形(包括利用和推送新闻和信息、展示商品、推送广告等),应提供接受定向推送信息,或者停止、退出、关闭相应功能的机制,或者不基于、用户画像等推送的模式、选项。

  a)所收集使用的目的应真实、准确,不应故意、掩饰收集使用的真实目的。如以红包、金币、抽等方式用户打开可收集的通讯录权限后,立即上传所有通讯录信息。

  b)如用户或撤回特定业务功能收集的授权时,不应暂停提供其他业务功能,或降低其他业务功能的服务质量。

  c)如用户或撤回可收集的权限时,不得影响用户正常使用与该权限无关的功能,除非该权限是正常运行所必需。

  a)应严格遵循其披露的政策等收集使用规则,开展处理活动,如使用目的发生变化的,应再次征得用户同意。

  a)收集业务功能非必要的或申请打开非必要权限时,应征得用户同意,用户不同意不得提供相应业务功能。

  b)不应将同意收集其他业务功能所需的或同意打开其他业务功能所需可收限,作为业务功能打开的前提条件。

  c)如提供无需注册即可使用(如浏览、游客模式)的业务模式,当用户支撑浏览、游客等模式以外的个人行为,不应提供服务。

  注:必要信息指与基本业务功能直接相关的,缺少该则基本业务功能无法实现。必要信息范围可参考《技术 移动应用程序收集基本规范》(征求意见稿),如果业务类型不在该标准内,则应根据其业务特点,参考该规范相关定义和自行判定。

  b)新增业务功能申请收集的超出用户原有同意范围时,不应因用户新增业务功能收集的请求,提供原有业务功能,新增业务功能取代原有业务功能的除外。

  c)不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集其 个人信息 并以此作为提供服务的条件。

  d)不得以方式强制要求用户一次性同意打开多个可收限。如将版App的targetSdkVersion值设置低于 23,通过声明机制,在安装时要求用户一次性同意打开多个可收限。

  a)收集的频度不应超出业务功能实际需要,在使用某业务功能过程中,应仅收集与当前业务功能相关的。

  b)在未打开或后台运行时,不应收集用户,除非业务功能需要后台运行时继续提供服务,如功能。

  c)接入第三方应用时,应提醒用户关注第三方应用收集使用的规则,不得私自截留第三方应用收集的。

  a)如存在从客户端直接向第三方发送的情形,包括通过客户端嵌入第三方代码、插件(如SDK)等方式,应事先征得用户同意,经匿名化处理的除外。

  b)如 个人信息 传输至 App后, App 运营者向第三方提供其收集的 个人信息 ,应事先征得用户同意,经匿名化处理的除外。

  c)如接入第三方应用,当用户使用第三方应用时,应事先征得用户同意后,再向第三方应用提供,用户获知应用为第三方且在知悉收集使用规则后,自行同意提供给第三方的除外。

  b)受理注销账号请求后, App 运营者应在承诺时限内(承诺时限不得超过 15 个工作日,无承诺时限的,以 15 个工作日为限)完成核查和处理。

  c) 注销账号的过程应简单易操作,不应设置不必要或不合理的注销条件,如提供额外的个人信息用于身份验证,或未明确注销所需个人信息在注销成功后是否会删除等。

  b)用户无法通过在线操作方式及时响应查询、更正、删除请求的,运营者应在承诺时限内(承诺时限不得超过15 个工作日,无承诺时限的,以 15 个工作日为限)完成核查和处理。

  b)运营者应妥善受理用户关于相关的投诉、举报,并在承诺时限内(承诺时限不得超过 15 个工作日,无承诺时限的,以 15 个工作日为限)受理并处理。返回搜狐,查看更多

(编辑:fun88网)

网站地图

微信扫一扫关注

地址:济南市高新区高端人才实训基地26楼 电话:0531-88475911 400-009-8475 网址:http://www.xatypj.com
版权所有 Copyright(C)2015 济南市fun88软件科技有限公司 陕ICP备11011550号-1